حملات تزریق کد Sql

نوشته شده توسط رامین در ۶ فروردین ۱۳۹۴

شاید باور اینکه در سال ۲۰۱۴ حملاتِ تزریقِ کدِ SQL1 در رتبه ی دوم۲ حملاتِ شناخته شده قرار دارد کمی دور از انتظار باشد ولی واقعیتی است که نمی‌توان آن را نادیده گرفت. هکرها همچنان به این نوع حملات علاقه ی زیادی دارند و وب‌سایت‌ها و برنامه‌های زیادی در جهان در معرض اینگونه حملات قرار دارند.

sqli

ادامه مطلب …

بدون دیدگاه دسته‌بندی : امنیت

۵ مرحله‌یِ اندوهِ یک برنامه‌نویس (ترول)

نوشته شده توسط رامین در ۱۳ اسفند ۱۳۹۳

ترول زیر ترجمه‌ایست نا دقیق از اینجا.

این ترول تصویری است از نحوه‌یِ برخوردِ منطقیِ برنامه‌نویسان با خطاهایِ برنامه‌ها 🙂

trollبرای بزرگ نمایی کلیک کنید.

 

در خبرنامه‌یِ وبلاگ عضو شوید (قرار نیست برای شما اسپم ارسال شود!):

[wysija_form id=”1″]

اولین همایش امنیت سایبری، آی بری باخ بری باخ!

نوشته شده توسط رامین در ۱۱ اسفند ۱۳۹۳

از چند هفته پیش بیلبوردهایِ تبلیغاتی و پوسترهایی در سطحِ شهرِ مشهد مشاهده می‌شد که خبر از برگزاریِ اولین همایش امنیت سایبری می‌داد با محوریتِ پلیسِ فتا و شرکتِ ناجی. خیلی از افراد معتقد بودند که این همایش می‌تواند موقعیتِ خوبی باشد برایِ گرد هم آمدنِ متخصصان و علاقه‌مندان به حوزه‌یِ امنیتِ سایبری.

Syber-200u00D7200cm
بعد از روزها انتظار، روزِ همایش فرا رسید، اولین چیزهایی که جلبِ توجه می‌کرد حضورِ بی‌شمارِ دانشجویان، بی‌نظمی در توزیع کارت‌ها و پوسترَ زردرنگی بود که اسامی اسپانسرها را نوشته بود، ده‌ها اسپانسر در تصویر وجود داشت ولی اگر دقت می‌کردید لوگویِ اسپانسرها بینِ ۵ تا ۹ بار در تصویر تکرار شده بود! و این بود سرآغاز همایش.
همایش طبقِ برنامه شروع شد، کارهایِ اجرایی همایش به عهده‌یِ یک شرکت خصوصی بود که پلیسِ فتا بدونِ شک هیچ نظارتی بر آن نداشت، این را می‌توان از اسپانسر شدنِ آب‌معدنی تا انتخابِ مجریِ برنامه به‌راحتی دریافت، انتخابِ بدِ مجری بزرگ‌ترین ضربه‌ای بود که به همایش وارد شد.

ادامه مطلب …

۲ دیدگاه دسته‌بندی : امنیت

افسانه‌ی محلی در مورد امنیتِ ATM ها و ملتِ همیشه در صحنه

نوشته شده توسط رامین در ۸ اسفند ۱۳۹۳

امروز (جمعه هشتمِ اسفندماه ۱۳۹۳) ساعتِ ۹ صبح، آقای براتِ قنبری، معاونِ وزیرِ ارتباطات و عضو اسبقِ هیات مدیره‌یِ بانک ملی، طیِ مصاحبه‌ای مطالبی را بیان کرده بود که بازتابِ آن در شبکه‌هایِ اجتماعی بازخوردهایِ زیادی داشت.

 

تذکر: سرویس ویراست‌یار در دسترس نبود، اشتباهاتِ املایی و نگارشی منتن را گزارش دهید.

621107256 ادامه مطلب …

NSA پشتِ دروازه

نوشته شده توسط رامین در ۱ اسفند ۱۳۹۳

۱۴ سال همزیستی با ویروس NSA در خانه

شروع داستان:
در سال ۲۰۰۹، چند نفر از محققان معتبر CD حاوی تصاویر و فیلم‌هایی از یک کنفرانس علمی که اخیرا در هوستون انجام‌شده بود از طریق پست دریافت کردند. CD دریافت شده علاوه بر محتوایِ کنفرانس، حاویِ برنامه‌هایِ مخربی بود که قسمتی از یک برنامه‌یِ هکِ پیشرفته به‌حساب می‌آمد که از سالِ ۲۰۰۱ آغازشده بود. (بعضی از متخصصان معتقدند که این حملات از سال ۱۹۹۶ آغازشده است.)

این اولین باری نبوده که برنامه‌هایِ مخرب از طریق بسته‌هایِ پستی برای مقاصدِ خاصی ارسال‌شده است. در سالِ ۲۰۰۲ و یا ۲۰۰۳ گروهی سعی کرند با ایجاد تغییرات در CD راه‌انداز پایگاه داده‌ی اوراکل و آلوده کردنِ آن، اطلاعاتی را از اهدافِ خود دریافت کنند.

شرکت امنیتی کسپرسکی که به این فعالیت تروریستی سایبری فوقِ پیشرفته لقبِ Equation group را داده، معتقد است که ریشه‌ی این حملات به سال‌های ۲۰۰۱ و یا احتمالاً ۱۹۹۶ بازمی‌گردد. Equation group با استفاده از بدافزارهایِ چند سکویی متعدد که برخی از آن‌ها با عنوانِ خانواده‌یِ رجین می‌شناسیم (نظیر رجین، استاکس‌نت و فِلِیم،  Gauss، Duqu) سعی در دزدی اطلاعات از اهدافی خاص داشته. این گروهِ حملاتِ سایبری به‌احتمال‌زیاد یکی از پیچیده‌ترین حملاتِ سایبری جهان را شکل داده‌اند، حمله‌ای که ازنظر وسعت و پیچیدگی تاکنون نظیر آن هیچ‌گاه دیده نشده است.

محققان کسپرسکی بیش از ۵۰۰ حمله‌ی مختلف را در حداقل ۴۲ کشورِ جهان ثبت کرده‌اند ازجمله ایران، روسیه، هند، پاکستان، افغانستان، سوریه و مالی. ازآنجایی‌که یک مکانیزم خود تخریبی در ساختارِ این برنامه‌های مخرب قرار داده‌شده است، گمانه‌زنی‌ها بر این است که میزان حملات به‌مراتب بسیار بیشتر از این مقدار باشد و این گزارش‌ها تنها شاملِ یک درصد از میزان کلِ حملاتِ انجام‌شده است و تعدادِ قربانیانِ واقعی احتمالاً به بیش از ده‌ها هزار نفر می‌رسد.

ادامه مطلب …

۶ دیدگاه دسته‌بندی : آزادی, امنیت

آیا گرینچ برای دزدیدن کریسمس ما آمده؟

نوشته شده توسط رامین در ۲۹ آذر ۱۳۹۳

چطور گرینچ کریسمس را دزدید؟
امسال گرینچ همه ی همت اش را برای ربودنِ کریسمس به کار برد، گرینچ که ۵۳ سال در غاری بالایِ شهر هوزها مخفی شده بود، امسال برایِ دزدیدن کریسمس از غارش بیرون آمد…
اگر در ماه‌هایِ گذشته کمی پیگیر اخبارِ امنیتی در دنیایِ مجازی بودید حتماً تا کنون دریافتید که در این ماه‌هایِ پایانیِ سالِ ۲۰۱۴، دنیایِ امنیت ماه‌هایِ بسیار تیره‌ای را سپری کرد. از خونریزیِ قلبی در OpenSSL تا باگِ غیرقابلِ باور ShellShock در بش و بعد از آن رونمایی از عجیب‌ترین بدافزارِ شناخته شده تا کنون با نامِ Regin و در آخرین روزهایِ سال نوبت رسید به گرینچ این ضدقهرمانِ داستان‌ِ دکتر سوس که برایِ دزدیدنِ کریسمس آمده است.
در چند روزِ گذشته شرکت امنیتیِ Alert Logic گزارشی را منتشر کرد از وجودِ یک نفوذپذیریِ جدید در سیستم عامل‌هایِ مبتنی بر لینوکس/یونیکس که در تمامیِ نسخه‌هایِ کلاینت، سرور و موبایل (اندروید) این مشکل وجود دارد و تا کنون هیچ وصله‌یِ امنیتی برایِ آن ارائه نشده است. به دلیلِ اینکه بیش از ۶۵٪ وب‌سروهایِ جهان و نزدیک به ۴۵٪ گوشی‌هایِ هوشمند از سیستم‌عامل‌های مبتنی لینوکس/یونیکس استفاده می‌کنند، وجود این باگ می‌تواند خطرِ بسیار بزرگی برایِ امنیتِ جهانِ مجازی در آستانه‌یِ سالِ ۲۰۱۵ تلقی شود، خطری که شاید بتواند کریسمس را از خیلی‌ها بدزدد.
در این مقاله سعی شده به بیانِ مشکل پرداخته و راهِ حلِ موقتی که توسطِ شرکتِ Alert Logic ارائه شده، بیان شود تا بدین وسیله تا ارائه‌ی وصله‌هایِ امنیتیِ موردِ نیاز بتوان از بروزِ مشکلاتِ جدی جلوگیری کرد.

6a00e008c99598883401b7c7096334970b

ادامه مطلب …

مروری بر گزارش امنیتی سیمانتیک در موردِ بدافزارِRegin

نوشته شده توسط رامین در ۴ آذر ۱۳۹۳

ابزارِ جاسوسی سطح بالا با امکانِ نظارتِ نامحسوس

خیلی از ما هنوز داستان‌هایِ مربوط به استاکس‌نت و فلیم (Felame) را به یاد داریم، بدافزارهایِ پیچیده‌ای که برایِ اهداف و موقعیت‌هایِ خاصی طراحی شده بودند، بدافزارهایی که جهان از دیدنِ پیچیدگی‌هایِ آن‌ها شکه شده بود و شاید بتوان گفت اولین نمونه‌یِ رسمی از بدافزارهایی به حساب می‌آیند که توسط دولت‌ها و یا سازمان‌هایِ بزرگِ جاسوسی برایِ اهدافِ سیاسی و نظامی استفاده شده‌اند.
روزِ گذشته نوعی جدیدی از این ویروس‌هایِ شبهِ دولتی معرفی شد که شاید بتوان آن را تکامل‌یافته‌ترین بدافزارِ موجود نامید. این بدافزار دارایِ طیفِ بسیار زیادی از قابلیت‌ها و پیچیدگیِ فوق‌العاده زیادی است و می‌تواند ساختارِ خود را با موقعیتِ قربانی تطبیق دهد. قابلیت استتار این تروجان در سیستم به حدی است که هیچ نمونه‌یِ مشابهی برایِ آن نمی‌توان یافت، این تروجان با نفوذ به سیستم شروع به جمع‌آوری اطلاعات کرده بدونِ اینکه خطری متوجهِ خودِ تروجان باشد.

ادامه مطلب …

بدون دیدگاه دسته‌بندی : امنیت

زمان – تیک تاک …

نوشته شده توسط رامین در ۱۲ آبان ۱۳۹۳

یک روز صبح وقتی از خواب بیدار شدم متوجه شدم که ساعتِ کهنه‌یِ دیواریِ اتاق‌ام دیگر سرِ جایِ سابق‌اش نیست، در واقع هیچوقت ساعت مهمی محسوب نمی‌شده، نه می‌دانستم از کجا آمده و نه می‌دانستم از چه زمانی رفته و خودش را در دلِ دیوارِ خاکستری اتاق‌ام جای داده. راستش را بخواهی اولین باری که دیدم‌اش خنده‌ام گرفتی، این ساعت‌هایی بود که هزار و یک جود اداواطوار دارند و فقط فکر می‌کنی عینِ آن‌ها در جواهرفروشی‌ها پیدا می‌شود، تعجب کرده بودم که چنین ساعتی با دیوارِ کرد رنگِ اتاق‌ام چه تصویر نامتجانسی ایجاد کرده.

10434 ادامه مطلب …

۲ دیدگاه دسته‌بندی : زندگی من

مار خوش خط و خال در ردایِ جاوا اسکریپت

نوشته شده توسط رامین در ۱۹ شهریور ۱۳۹۳

یکی از مشکلاتِ اصلی آدم‌هایی که برنامه‌نویسیِ سمتِ سرور و یا تحتِ کنسول می‌کنند این است که گهگاه بنا به دلایلی یک‌دفعه مجبور می‌شوند بروند سراغِ چیزهایی مثلِ اینترفیس، اینجاست که برنامه نویس احساس می‌کند واردِ سرزمینِ عجایب شده و با نمایش دادنِ یک Alert با جاوا اسکریپت چنان ذوقی می‌کند گه انگاری مرزهایِ علم و دانشِ بشری را به‌کلی جابجا کرده و بابی جدید در علوم یومیه گشوده. این موضوع وقتی هیجان‌انگیز تر می‌شود که برنامه‌نویس پایتون با آشنایی خیلی کم با جاوا اسکریپت بخواهد یک چیزی شبیه به این در بیاورد (قبل از ادامه کلیک کنید!)
کافی است کدِ صفحه را ببینید تا متوجه شوید که این قسمت با زبانِ پایتون  نوشته‌شده است.
تعجب کردید؟ درآوردن چنین چیزی با jquery-ui خیلی پیچیده است برایِ شخصِ من ولی همین را با کیفیتی مشابه می‌توانم با چند خطِ پایتون شبیه‌سازی کنیم. ولی رازِ داستان چیست؟

wallpaper_rayman_raving_rabbids_2_04_800

ادامه مطلب …

تقویم پایتون با مناسبت‌ها! زشت ولی کارا

نوشته شده توسط رامین در ۳ شهریور ۱۳۹۳

دیروز برایِ انجامِ پروژه ای به یک تقویم دارای مناسبت‌ها در پایتون احتیاج پیدا کردم. هرچقدر که گشتم موفق به پیدا کردن تقویم پایتون‌ ای مناسبی نشدم و طبیعتاً شبیه به هر آدم بیچاره‌یِ دیگری مجبور شدم دست به ابتکار بزنم تا در سریع‌ترین زمان به جواب لازم برسم.

Screenshot - ۱۴۰۸۲۵ - ۱۰:۲۴:۳۲

قصدِ من از نوشتن این برنامه‌ی کوچک که در ادامه درباره‌ی ِ آن قرار است بگویم، نوشتنِ یک برنامه‌ی درست یا اصولی یا هر قرتی بازیِ دیگری شبیه به این‌ها نبوده! من احتیاج داشتم به یک تقویم مناسبتی پایتون که فقط و فقط کار کند و تعطیلات رسمی را تا حد قابلِ قبولی به من نشان دهد.
در حقیقت حتی قرار نبود این پروژه نمودِ ظاهری داشته باشد و مثلاً یک تقویم باشد در ترمینال یا مسخره‌بازی شبیه به آن و نتیجتاً آن صد و خورده‌ای خط کدِ آخرِ برنامه فقط جهتِ همین مسخره‌بازی‌هایی است که اشاره شد:)
تقویم را از calverter برداشتم که سال‌ها قبل مهدی بیاضی نوشته و سمیر رحمانی تا حدی آن را ویرایش کرده و شاید یکی از دقیق‌ترین تقویم‌های پایتونی باشد که داریم.

شکل‌دهی رویدادها و چیزهایی شبیه به آن را هم از تقویم گنوم برداشتم که یک کار فوق‌العاده از امید است و اگر فکر می‌کنید این کد پایتونی بدرد می‌خورد می‌توانید بروید به فاندلی و به تقویم امید کمک کنید و حتی اگر فکر می‌کنید تقویمی که نوشتم بدرد نمی‌خورد بازهم می‌توانید به لجِ من بروید به سایتِ فاندلی و دوباره از امید حمایت کنید.
اگر حس می‌کنید این تقویم جایِ کار دارد پس آن را توسعه دهید.
اگر فکر می‌کنید این تقویم را می‌توانید به‌عنوان پروژه‌ی دانشجویی به استاد تحویل دهید و یا در پروژه‌ای شبه تجاری از آن استفاده کنید در دزدیدنِ کدِ آن آزادید.
خلاصه ان که دوباره تأکید می‌کنم این‌یک کد خوب نیست! این کدی است که کار می‌کند (تقریباً)
پ ن: بعضی جاها رویدادهای هجری درست نیست!
https://github.com/RaminNietzsche/pakman

github

رفتن به صفحه‌ی پروژه(!) در گیت‌هاب